Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ebook RODO w rekrutacji AD 2020. Czy leci z nami pilot?

325 views

Published on

Ebook towarzyszący webinarium z dnia 05.03.2020 r. zorganizowanego przez elevato (https://www.elevatosoftware.com/)
i iSecure (https://www.isecure.pl/)

Minęły prawie dwa lata od czasu wejścia w życie RODO, a wciąż jest sporo kwestii, które dla wielu rekruterów nie są jasne. Co gorsza, niektóre z nich doczekały się sprzecznych interpretacji, a z uwagi na brak orzecznictwa i dość ogólną treść unijnego rozporządzenia, pojawia się problem z decyzją, jakie postępowanie jest właściwe.

Jeśli masz wątpliwości, czy rekrutujesz zgodnie z przepisami, obejrzyj bezpłatne webinarium, z którego dowiesz się, w jaki sposób dostosować procesy związane z rekrutacją do wymogów wynikających z RODO.

Prowadzący:
- Katarzyna Ułasiuk, Członek Zarządu iSecure Sp. z o.o., Prawnik, Specjalistka w tematyce ochrony danych osobowych
- Krzysztof Ogniewski, CEO w elevato

Published in: Recruiting & HR
  • Be the first to comment

  • Be the first to like this

Ebook RODO w rekrutacji AD 2020. Czy leci z nami pilot?

  1. 1. RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT?
  2. 2. RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT? 2 TRENDY W REKRUTACJI 2020 – GDZIE JESTEŚMY? Niedługo miną dwa lata od czasu wejścia w życie RODO, a wciąż jest sporo kwestii, które dla wielu rekruterów nie są jasne. Co gorsza, niektóre z nich doczekały się sprzecznych interpretacji, a z uwagi na brak orzecznictwa i dość ogólną treść unijnego rozporządzenia, pojawia się problem z decyzją, jakie postępowanie jest właściwe. Jeśli masz wątpliwości, czy rekrutujesz zgodnie z przepisami, zapoznaj się z ebookiem, z którego dowiesz się, w jaki sposób dostosować procesy związane z rekrutacją do wymogów wynikających z RODO. Poruszamy najbardziej problematyczne tematy: o Rekrutacja spontaniczna – jak przyjąć CV dostarczone bezpośrednio, aby zabezpieczyć interesy pracodawcy. o Modele współpracy między Pracodawcą, a agencjami rekrutacyjnymi. o Jakie dane możesz żądać od kandydata do pracy? o Prawo do bycia zapomnianym – jak postępować krok po kroku? o Proces rekrutacyjny – jakie zgody?
  3. 3. 3 1. REKRUTACJA SPONTANICZNA –ZGODNOŚĆ Z PRZEPISAMI RODO W związku z tym, że pozyskiwanie pracowników jest coraz trudniejsze, a przy tym także czaso- i kosztochłonne, zapewne zależy Ci na pozyskiwaniu CV w różnej formie. I to nie tylko w sposób najbardziej nam znany i teoretycznie przynoszący największy skutek – poprzez rekrutację online, ale także w sposób dla niektórych klasyczny – poprzez dostarczenie CV bezpośrednio do siedziby Spółki. Jeśli dopuszczamy przyjmowanie CV w takiej formie, musimy zapewnić zgodność działania z obowiązującymi przepisami RODO – pozornie łatwe, jednak czy dla wszystkich? Poniżej krótka instrukcja dla Ciebie, jako Pracodawcy, jak postępować w takim przypadku: o Ustal w wewnętrznych procedurach (np. procedurze rekrutacji) sposób przyjmowania CV. o Jeżeli procedura organizacji pozwala tylko i wyłącznie na przyjmowanie CV poprzez kanał e-mail lub online - odmów przyjęcia CV dostarczonego osobiście, a dostarczone pocztą tradycyjną – niezwłocznie usuń. o Jeżeli wewnętrzne uregulowania pozwalają na przyjmowanie CV dostarczonych bezpośrednio do organizacji, spełnij dodatkowe obowiązki, w tym obowiązek informacyjny wynikający z art. 13 RODO oraz pobierz zgody na proces rekrutacyjny (w zależności od przyjętej praktyki w organizacji). o Przedstaw kandydatowi do pracy oświadczenie z powyższymi obowiązkami. o Bardzo ważne – zarchiwizuj oświadczenia wraz z dostarczonym CV! Pamiętaj! Administrator jest odpowiedzialny nie tylko za przestrzeganie przepisów, ale w razie kontroli musi także ich przestrzeganie udowodnić – zasada rozliczalności. RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT?
  4. 4. 4 2. MODELE WSPÓŁPRACY MIĘDZY PRACODAWCĄ A AGENCJĄ REKRUTACYJNĄ RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT? OPIS MODELU PODEJMOWANE DZIAŁANIA ROLA TYPOWE ZAGROŻENIA › Agencja rekrutacyjna występuje w roli Administratora danych, › Pracodawca w momencie otrzymania dokumentów aplikacyjnych od Agencji staje się odrębnym Administratorem. › Agencja we własnym imieniu wyszukuje kandydatów i włącza ich do swoich zbiorów danych, › Agencja czerpie kandydatów z własnych baz. › Agencja zachowuje duży stopień niezależności, w szczególności poprzez dokonywanie własnej oceny, tzw. Preselekcji, › Agencja decyduje, których Rekrutowanych przedstawić Pracodawcom i przekazać ich dane osobowe, a których odrzucić, › Agencja decyduje o środkach przetwarzania danych Rekrutowanych, gdyż ma kontrolę nad środkami technicznymi i organizacyjnymi używanymi do zabezpieczenia bazy danych Rekrutowanych oraz decyduje, za pomocą jakich kanałów będzie publikować ogłoszenia o pracę w celu pozyskania danych Rekrutowanych. › Brak podstawy prawnej udostępnienia danych pomiędzy Agencją a Pracodawcą (zgoda, umowa, etc.), › Brak podstawy otrzymania informacji zwrotnej od Pracodawcy do Agencji np. o decyzji o zatrudnieniu, › Udostępnienie szerszego zakresu danych niż niezbędne dla Pracodawcy i dopuszczalne w oparciu o przepisy Kodeksu pracy, › Brak weryfikacji przez Agencję podstawy prawnej udostępnienia danych, › Brak wyraźnej identyfikacji ról po udostępnieniu danych Rekrutowanych do Pracodawcy (np. Agencja prowadzi rozmowy co do warunków finansowych w imieniu Pracodawcy). › Agencja rekrutacyjna występuje w roli podmiotu przetwarzającego, który w imieniu i na rzecz Pracodawcy wyszukuje kandydatów do pracy, › Pracodawca – w roli Administratora od początku rekrutacji. › Agencja nie czerpie kandydatów z własnych zasobów, ale w sposób aktywny poszukuje ich w imieniu Pracodawcy, › Agencja dokonuje czynności (np. zebranie zgód na przetwarzanie danych osobowych od Kandydata w imieniu Pracodawcy lub przedstawienie mu w imieniu Pracodawcy klauzuli informacyjnej, przedstawienie i zawarcie umowy o pracę). › Pracodawca wyraźnie określa własny cel przetwarzania danych Kandydatów, › Pracodawca zawiera umowę powierzenia zgodnie z art. 28 RODO, w której przesądza, że Agencja ma obowiązek wyraźnie komunikować Kandydatowi swoją rolę jako Podmiotu Przetwarzającego, realizując w imieniu Pracodawcy obowiązek informacyjny z RODO (w szczególności art. 13 RODO). › Brak spełnienia obowiązku informacyjnego w momencie pozyskiwania danych (np. przez Agencje zbierającą dane w imieniu Pracodawcy), › Brak dowodu realizacji obowiązku informacyjnego – zasada rozliczalności, › Zebranie przez Agencję nadmiarowych danych osobowych Rekrutowanego – działanie poza zakresem Umowy powierzenia. W tej sytuacji Agencja staje się odrębnym Administratorem i ponosi odpowiedzialność jako Administrator, › Wykorzystanie przez Agencję danych do własnych celów bez podstawy prawnej („wyjście poza rolę Podmiotu Przetwarzającego”), › Agencja może wykorzystać zebrane dane po czasie obowiązywania umowy Agencja- Pracodawca (brak usunięcia) w stosunku do tego samego pracodawcy lub innego. Model mieszany: › Agencja jako Administrator i/lub Agencja jako Podmiot Przetwarzający). › Mieszane działania powyższych dwóch modeli. › Mieszana rola powyższych dwóch modeli. › Wszystkie zagrożenia wskazane w dwóch powyższych modelach. Współpraca pomiędzy pracodawcą a agencją rekrutacyjną to bardzo często spotykana sytuacja, jednak wybór tego rodzaju współpracy nasuwa często wiele wątpliwości co do uregulowania kwestii przetwarzania danych osobowych kandydatów do pracy. Zdarza się, że mylnie oceniana jest rola stron. Poniżej najczęściej występujące trzy modele współpracy.
  5. 5. 5 2. MODELE WSPÓŁPRACY MIĘDZY PRACODAWCĄ A AGENCJĄ REKRUTACYJNĄ RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT? OPIS MODELU PODEJMOWANE DZIAŁANIA ROLA TYPOWE ZAGROŻENIA ›Współadministrowanie - podmioty z grupy powiązanej prowadzą wspólną rekrutację (np. Spółki A,B,C); ›Wyznaczają wspólne jednakowe cele i sposoby przetwarzania danych kandy- datów; ›Zwerbowany kandydat potencjalnie może stać się pracownikiem Spólki A, B lub C. › Podmioty powiązane kapitałowo wspólnie szukają Kandydatów do pracy; › Podmioty powiązane kapitałowo wspólnie decydują o celach i sposobach przetwarza- nia danych Kandydata; › Podmioty powiązane kapitałowo mają ten sam „wspólny” (a nie tylko taki sam) interes w przetwarzaniu danych osobowych. › Podmioty powinny ograniczyć zakres pozyskiwanych danych osobowych; › Podmioty powinny wykazać uzasadniony interes jakim jest stworzenia wspólnej bazy danych. › Jeden ze współadministrujących zaczyna przetwarzać dane osobowe w swoim celu bez podstawy prawnej; › Naruszenie wspólnego porozumienia dotyczącego współadministrowania; › Brak wykonania obowiązku informacyjnego przed jednego z Administratorów o nowych celu przetwarzania. REKRUTACJA W GRUPIE KAPITAŁOWEJ może się także odbywać w modelach: › Rekrutacja prowadzona wśród Pracowników lub Kandydatów podmiotów powiązanych: Pracodawca polecający (np. Spółka A) przekazuje dane kandydata do Pracodawcy rekrutującego (np. Spółki B) LUB Pracodawca poszukujący kandydata (Spółka A) zbiera od kandydata zgodę na przetwarzanie danych przez siebie oraz na udostępnienie danych Spółce B, › Spółka A i B (Administratorzy Danych) korzystają z pomocy, wiedzy, doświadczenia lub systemu podmiotu z grupy Spólki C (procesora danych), Spółka C zbiera zgody na przetwarzanie danych przez Spółkę A I B (Administratorów Danych). Rekrutacja w Grupie Kapitałowej
  6. 6. 6 3. ZBIERAJ DANE, KTÓRE MOŻESZ PRZETWARZAĆ – CZY WIESZ JAKIE? Jako Pracodawca wiesz, że zarówno na etapie rekrutacji, jak i po zatrudnieniu pracownika pozyskujesz od niego szereg informacji. Zgodnie z RODO – z zasadą minimalizacji danych - pracodawca może przetwarzać dane osobowe pracowników tylko w możliwie ograniczonym zakresie i jedynie wtedy, gdy ma ku temu odpowiednią podstawę. Jakie konkretnie dane może więc zbierać Pracodawca? Wskazane w Kodeksie Pracy:  imię (imiona) i nazwisko,  datę urodzenia,  dane kontaktowe wskazane przez Kandydata,  wykształcenie,  kwalifikacje zawodowe,  przebieg dotychczasowego zatrudnienia. Podstawą do przetwarzania powyższych danych jest art. 6 ust. 1 lit. c) RODO w zw. z przepisami KP. Pracodawca żąda podania powyższych informacji, z tym zastrzeżeniem, że w zakresie danych (wykształcenie, kwalifikacje zawodowe i przebieg dotychczasowego zatrudnienia), gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku. Czy to wszystkie dane, których Pracodawca może żądać? Poniżej zestawienie przykładów danych, które możesz pozyskiwać i przetwarzać na etapie rekrutacji – oczywiście pod pewnymi warunkami. ❶ Dane wskazane w przepisach szczególnych – np. zaświadczenie o niekaralności w przypadku rekrutacji dotyczącej stanowisk np. nauczyciela, taksówkarza, detektywa, pracownika straży granicznej itd., podstawą ich przetwarzania są przepisy prawa, czyli na podstawie art. 6 ust. 1 lit. c) RODO lub art. 9 ust. 2 lit. b) w zw. z właściwymi przepisami. Pracodawca może żądać podania tych danych. ❷ Dane niewskazane w Kodeksie Pracy i przepisach szczególnych, ale dobrowolnie podane przez kandydata (np. zdjęcie na CV, informacja o hobby) – wprawdzie tych danych żądać od kandydata Pracodawca nie może, ale są one często dołączane przez kandydata – a więc podstawą ich przetwarzania będzie zgoda poprzez działanie potwierdzające (zawarcie w CV), czyli art. 6 ust. 1 lit. a) RODO. ❸ Dane kontaktowe (numer telefonu, adres e-mail) - zgodnie z KP to Kandydat do pracy podejmuje decyzję, jakie dane kontaktowe chce przekazać Pracodawcy. ❹ Rekomendacja dla Pracodawcy: a) e-mail w systemie elevato – jako dana identyfikująca (obowiązkowa, oznaczona *). * Podanie Twojego adresu e-mail pozwoli nam na prawidłową identyfikację w systemie. b) numer telefonu/adres korespondencyjny – jako dane nieobowiązkowe, oznaczone *. * Podanie danych jest dobrowolne, ale ich niepodanie utrudni nam komunikację z Tobą. ❺ Dane dobrowolnie podane przez kandydata (Pracodawca nie może ich żądać): a) informacja o wynagrodzeniu – adekwatność zbierania, w elevato informacja ta występuje jako opcjonalna, ostateczna decyzja leży po stronie Administratora. b) wybór Pan/Pani – adekwatność zbierania, w elevato – możliwość opcjonalnego wprowadzenia w formularzu wyboru Pan/Pani z uwagi na CV obcokrajowców, ostateczna decyzja po stronie Administratora. c) preferowany oddział zatrudnienia – nie zawsze będzie daną adekwatną, z wyjątkiem, kiedy Pracodawca ma kilka oddziałów Spółki i wskazanie miejsca preferowanego oddziału zatrudnienia byłoby adekwatne. Zachowanie zgodności w procesie rekrutacji jest zadaniem kluczowym dla każdego Pracodawcy. W żadnej organizacji nie da się przecież uniknąć tej procedury. RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT?
  7. 7. 7 4. PRAWO DO BYCIA ZAPOMNIANYM – JAK POSTĘPOWAĆ KROK PO KROKU? Po niemal dwóch latach obowiązywania RODO okazuje się, że jednym z większych wyzwań, z jakim mierzysz się jako Pracodawca, jest obsługa wniosków dotyczących realizacji praw osób, których dane dotyczą. W praktyce problem nie dotyczy tylko tego, czy można/trzeba usunąć dane, ale także – w jakim terminie należy udzielić informacji i czy należy poinformować osobę o usunięciu danych. Zapamiętajmy, że każda osoba, której dane są przetwarzane, może złożyć do administratora wniosek o realizację praw określonych w art. 15-22 RODO. Dlatego tak ważne jest, aby Pracodawca dokonał weryfikacji tożsamości osoby składanej wniosek. Pamiętaj! ❶ Pracodawca ma prawo odmówić/odroczyć spełnienie żądania. ❷ Pracodawca nie musi usuwać danych na każde żądanie kandydata – na przykład w trakcie toczącego się postępowania sądowego związanego z procesem rekrutacyjnym, kiedy dane kandydata stanowią dowód w sprawie. Co z terminem? Przepis art. 12 ust. 3 RODO stanowi, że Administrator (Pracodawca) ma obowiązek udzielić odpowiedzi ,,bez zbędnej zwłoki, a w każdym razie w terminie miesiąca’’. Pamiętaj, aby udzielić odpowiedzi możliwe jak najszybciej – termin nie może przekroczyć jednego miesiąca. A jak należy liczyć termin realizacji praw osób których dane dotyczą zgodnie z RODO? Kluczowa będzie zawsze data “otrzymania” żądania. Nie ma więc znaczenia np. data, w której list zawierający żądanie został nadany na poczcie. W określonych sytuacjach, może się również okazać, że datą, od której rozpocznie się bieg terminu, będzie nie data otrzymania żądania, lecz data doprecyzowania tego żądania, gdyż zdarzają się żądania nieprecyzyjne. W terminie miesiąca osoba składająca wniosek musi otrzymać merytoryczną, konkretną odpowiedź realizującą jej prawo, np. informację o przetwarzaniu danych, potwierdzenie usunięcia danych, potwierdzenie odnotowania sprzeciwu wobec przetwarzania danych lub cofnięcia zgody. Pamiętaj, że obowiązkiem Administratora jest także poinformowanie o możliwości wniesienia skargi do PUODO oraz skorzystania ze środków ochrony prawnej przed sądem. RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT?
  8. 8. 8 5. CZY ISTNIEJE OBOWIĄZEK ZBIERANIA ZGÓD NA BIEŻĄCE I PRZYSZŁE PROCESY REKRUTACYJNE? Jednym z ciekawszych i problematycznych tematów po rozpoczęciu stosowania RODO była kwestia przeprowadzania rekrutacji. W przeszłości standardem było, że każde CV zawierało klauzulę zgody na przetwarzanie danych osobowych w celach rekrutacyjnych. Co więcej, brak takiej zgody skutkował przeważnie tym, że kandydatura takiej osoby była z góry odrzucana. A jak długo możemy przechowywać CV z wyrażonymi zgodami na przyszłe procesy rekrutacyjne? Możliwe jest przechowywanie danych po zakończonym okresie rekrutacji Jeżeli kandydat wyraził zgodę na przetwarzanie jego danych w ramach przyszłych rekrutacji - przez okres ustalony przez pracodawcę. Okres ten należy zawrzeć w odpowiednich dokumentach Spółki, np. procedurze rekrutacji/procedurze retencji danych. Okres ten nie powinien być jednak dłuższy niż 2 lata. Proces rekrutacji wymaga starannego przygotowania oraz wyważenia praw kandydata i przyszłego pracodawcy. Ze względu na wiele błędów, które można popełnić w związku z pobieraniem danych osobowych Kandydatów, bardzo dobrą praktyką jest wprowadzenie procedury rekrutacyjnej, która powinna być znana i obowiązywać nie tylko pracowników kadr i HR, lecz także kierowników działów. Rekrutowanie pracowników wymaga spełnienia wielu, często skomplikowanych dla przeciętnego pracownika obowiązków, co generuje potencjalne ryzyko, że sam proces nie zostanie w pełni przeprowadzony zgodnie z przepisami o ochronie danych osobowych. Staranne podejście do zagadnienia może pracodawcy przynieść wiele korzyści, szczególnie przy kwestiach spornych. RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT? UMOWA O PRACĘ – PRZEPIS PRAWA, czyli art. 6 ust. 1 lit. c RODO (dot. danych KP), lub ZGODA INNY RODZAJ UMOWY – ZGODA OSOBY, czyli art. 6 ust. 1 lit a RODO Przyszłe procesy rekrutacyjne – ZGODA OSOBY, czyli art. 6 ust. 1 lit a RODO (zawsze wyraźna zgoda) Czas przechowywania ustala Administrator – zależny od wewnętrznej procedury rekrutacji/retencji danych – rekomendowany od 1 do 2 lat Zgoda na przyszłe procesy rekrutacyjne: Gdy wyrażana przy okazji rekrutacji bieżącej - ZGODA DOBROWOLNA Gdy wyrażana przy okazji APLIKACJI OGÓLNEJ – MOŻE BYĆ WYMAGANA
  9. 9. 9 RODO W REKRUTACJI AD 2020. CZY LECI Z NAMI PILOT? Źródła:  Projekt Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (druk sejmowy nr 3050, wersja opublikowana w dniu 18 lutego 2019),  Ustawa z dnia 26 czerwca 1874 r. Kodeks pracy (Dz.U. 1974 Nr 24 poz. 141 ze zm.),  Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych),  Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców, październik 2018,  Kodeks ochrony danych osobowych w rekrutacji. Elevato oferuje wsparcie dla działu HR i agencji rekrutacyjnych. Jest to system do szybkiej i skutecznej rekrutacji, który pozwala na automatyczną publikację ofert pracy na różnych portalach oraz w mediach społecznościowych, łatwą selekcję kandydatów i tworzenie zaawansowanych raportów. ISecure pomaga zapewnić bezpieczeństwo informacji i chronić dane osobowe, wspiera firmy i instytucje w dostosowaniu się do przepisów RODO. Usługi iSecure obejmują audyty, doradztwo, obsługę prawną, outsourcing IOD, szkolenia dla pracowników, testy penetracyjne oraz testy bezpieczeństwa aplikacji. www.elevatosoftware.com www.isecure.pl

×